公開日:2023/11/15 最終更新日:2023/11/17

JVNVU#92598492
Siemens製品に対するアップデート(2023年11月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-084182

  • 権限昇格およびアクセス権のないオブジェクトへのアクセス
SSA-099606
  • サードパーティ製コンポーネント由来の複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-099606」を参照)
SSA-137900
  • サードパーティ製コンポーネント由来を含む複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-137900」を参照)
SSA-150063
  • サードパーティ製コンポーネント由来の複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-150063」を参照)
SSA-197270
  • システム内の任意のファイル読み取り
SSA-268517
  • 境界外書込みによるコード実行
SSA-292063
  • サードパーティ製コンポーネント由来の複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-292063」を参照)
SSA-456933
  • 認証されていない攻撃者によるファイルアップロード
  • ユーザによる不正なSQLクエリの実行
  • 正規ユーザを不正なURLに誘導し意図しない動作を誘発させる
  • 格納型クロスサイトスクリプティング
SSA-457702
  • 「Framing Frames」攻撃による情報漏えいやセッションの乗っ取り
SSA-478780
  • 不正なファイルの読み込みによる、サービス運用妨害(DoS)状態の発生、任意のコード実行
SSA-617233
  • サードパーティ製コンポーネント由来の複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-617233」を参照)
SSA-625850
  • サードパーティ製コンポーネント由来の複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-625850」を参照)
SSA-699386
  • サードパーティ製コンポーネント由来を含む複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-699386」を参照)
SSA-887122
  • 境界外書き込みによるコード実行

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-084182: Privilege Escalation Vulnerability in Mendix Runtime
SSA-099606: Multiple Vulnerabilities in SIMATIC MV500 before V3.3.5
SSA-137900: Multiple Vulnerabilities in COMOS
SSA-150063: Multiple Vulnerabilities in SINEC PNI before V2.0
SSA-197270: Information Disclosure Vulnerability in Siemens OPC UA Modeling Editor (SiOME)
SSA-268517: Code Execution Vulnerability (libwebp CVE-2023-4863) in Mendix Studio Pro
SSA-292063: Multiple Vulnerabilities in Nozomi Guardian/CMC before 22.6.3 and 23.1.0 on RUGGEDCOM APE1808 devices
SSA-456933: Multiple Vulnerabilities in SIMATIC PCS neo before V4.1
SSA-457702: Wi-Fi Encryption Bypass Vulnerabilities in SCALANCE W700 Product Family
SSA-478780: Multiple WRL File Parsing Vulnerabilities in Tecnomatix Plant Simulation
SSA-617233: Urgent/11 TCP/IP Stack Vulnerabilities in SIPROTEC 4 7SJ66 Devices
SSA-625850: Multiple WIBU Systems CodeMeter Vulnerabilities Affecting the Desigo CC Product Family
SSA-699386: Multiple Vulnerabilities in SCALANCE XB-200 / XC-200 / XP-200 / XF-200BA / XR-300WG Family before V4.5
SSA-887122: X_T File Parsing Vulnerabilities in Simcenter Femap

参考情報

  1. ICS Advisory | ICSA-23-320-03
    Siemens Desigo CC product family
  2. ICS Advisory | ICSA-23-320-04
    Siemens Mendix Runtime
  3. ICS Advisory | ICSA-23-320-05
    Siemens SCALANCE W700
  4. ICS Advisory | ICSA-23-320-06
    Siemens SIMATIC PCS neo
  5. ICS Advisory | ICSA-23-320-07
    Siemens OPC UA Modeling Editor (SiOME)
  6. ICS Advisory | ICSA-23-320-08
    Siemens SCALANCE Family Products
  7. ICS Advisory | ICSA-23-320-09
    Siemens COMOS
  8. ICS Advisory | ICSA-23-320-10
    Siemens SIPROTEC 4 7SJ66
  9. ICS Advisory | ICSA-23-320-11
    Siemens Mendix Studio Pro
  10. ICS Advisory | ICSA-23-320-12
    Siemens PNI
  11. ICS Advisory | ICSA-23-320-13
    Siemens SIMATIC MV500
  12. ICS Advisory | ICSA-23-320-14
    Siemens RUGGEDCOM APE1808 Devices

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/11/17
[参考情報]にICS Advisoryのリンクを追加しました